Académique Documents
Professionnel Documents
Culture Documents
de la cybersécurité
édition 2020
SOMMAIRE
Edito .........................................................................................................................................................3
Préambule..............................................................................................................................................4
Annexes
Eléments de méthologie...........................................................................................................................69
Glossaire.....................................................................................................................................................72
édito
Virulentes, massives, en mutation constante, les attaques informatiques menacent chaque jour le fonc-
tionnement des organisations… si ce n’est leur survie. Et les structures publiques comme privées en
prennent progressivement conscience ! Elles sont nombreuses à partir en quête de nouvelles recrues
expertes en cybersécurité.
Or, les spécialistes en cybersécurité sont aujourd’hui des perles rares. L’intérêt pour la filière est gran-
dissant, mais le vivier de talents peine encore à répondre à l’importance des besoins. Et ces profils sont
d’autant plus difficiles à dénicher que le champ des missions et compétences de la cybersécurité est vaste,
complexe, hétérogène. Soit, difficile à appréhender pour qui n’y est pas familier.
Dans ce contexte, la formation et le recrutement sont des enjeux fondamentaux. Aujourd’hui, faute de
connaissance des spécificités du domaine, les services en charge des ressources humaines peinent parfois
à identifier les profils capables de répondre aux besoins de leur organisation. Ce panorama leur propose,
ainsi qu’aux écoles et aux futurs talents, une nomenclature complète des métiers de la cybersécurité.
Nous faisons le pari que ce travail contribuera, en intégrant les enjeux cyber au sein des services des
ressources humaines et des organismes de formation, à structurer et fortifier tout un écosystème cyber.
Et à faire émerger une vision partagée des compétences de cette filière d’avenir.
Guillaume Poupard
Directeur général de l’ANSSI
Nolwenn Le Ster
Présidente du comité cybersécurité de Syntec Numérique
avec l’engagement de :
ACN Alliance pour la confiance numérique
CESIN Club des experts de la sécurité de l’information et du numérique
CIGREF Club informatique des grandes entreprises françaises
CLUSIF Club de la sécurité de l’information français
CPME - Cinov IT Confédération des petites et moyennes entreprises
Forum des compétences Cercle d’échanges autour de la sécurité des systèmes d’information
des acteurs de la banque, de la finance et des assurances
préambule
La numérisation croissante des échanges et des activités économiques ainsi que le développement et la
complexification de la menace cyber rendent chaque jour plus urgent le besoin de doter les entreprises
et les administrations de personnels formés, qualifiés et compétents en matière de cybersécurité. Ce
constat fait aujourd’hui l’objet d’un consensus partagé.
Dans ce contexte, l’ANSSI a mis en place des dispositifs pour impulser, encourager et reconnaître les
initiatives en matière de développement des formations et de diffusion des bonnes pratiques. Afin de
guider les entreprises dans leur politique de recrutement, d’accompagner les porteurs de formation et
d’encourager les étudiants ou les salariés en reconversion, elle poursuit son effort d’accompagnement
en contribuant à la structuration du marché de l’emploi de la sécurité des systèmes d’information (SSI).
C’est tout l’objet de ce Panorama des métiers de la cybersécurité : un travail d’exploration, de caractérisation
et de mise en commun autour des métiers -établis ou en émergence- qui constituent le domaine vaste et
varié de la sécurité du numérique. Appellations, missions, compétences, domaines d’intervention, ten-
dances d’évolution sont autant de dimensions sur lesquelles il est nécessaire de faire émerger des visions
partagées. Ceci afin de fluidifier et dynamiser un marché de l’emploi cyber en plein essor.
démarche de travail
En 2019, en étroite collaboration avec Syntec Numérique, un travail visant à la mettre à jour et à l’enrichir
a été lancé et piloté par l’ANSSI.
Le périmètre des acteurs consultés tout au long du projet a en outre été très sensiblement élargi par rap-
port à la première étude : représentants des entreprises et des administrations, acteurs de l’enseignement
supérieur délivrant des formations en sécurité du numérique (communauté SecNumedu), communautés
professionnelles sectorielles (y compris TPE / PME), administrations utilisatrices et grands comptes
privés. Cette consultation a permis de collecter les besoins, les tendances observées et les différentes
réalités et pratiques du marché de l’emploi.
Élaborer une liste de métiers dans un secteur aussi changeant est un exercice délicat. Qui plus est, certains métiers
ont parfois des contours mal définis et leur dénomination peut varier d’une organisation à l’autre. L’objet de ce
Panorama n’est pas de figer les acceptions et les pratiques, mais d’élaborer un état des lieux partagé au moment de
sa publication, dans l’idée de proposer un outil à ceux qui voudront s’en saisir et non une norme. Les principes et
partis-pris méthodologiques qui ont présidé à l’élaboration de ce Panorama des métiers sont décrits en annexe.
L’ANSSI propose une nomenclature de métiers de la sécurité dans le numérique qui a vocation à être
déclinée par chaque organisation selon ses spécificités.
Chaque fiche métier est autoporteuse et peut être utilisée indépendamment des autres fiches métiers
proposées dans le document, ce qui explique certains recoupements d’activités entre plusieurs métiers.
4
structure du document
Le présent document comprend deux parties. La partie principale, consacrée aux métiers dédiés à la
cybersécurité, est organisée en quatre grandes familles :
▶ Une première sous-partie présente les métiers avec lesquels la filière cybersécurité est amenée à inte-
ragir et qui contribuent à la démarche globale de sécurité des SI. Les métiers sont présentés au sein de
ce Panorama pour permettre d’en appréhender la cohérence et les interactions existantes avec les métiers
de la liste principale.
▶ Une seconde sous-partie présente quelques métiers qui peuvent se spécialiser en cybersécurité, no-
tamment dans les grandes organisations.
remerciements
L’ANSSI remercie Syntec Numérique pour son appui dans le co-pilotage de cette étude. Elle remercie
également, pour leur participation aux travaux, l’ACN, le Cesin, le Cigref, le Cinov-IT (pour la CPME),
le Clusif, le Crédit Agricole (et plus largement le Forum des Compétences), le Ministère des Armées (et
plus particulièrement la DGA), le Ministère de l’Economie et des Finances, Orange Cyberdéfense, Sanofi
et l’UIMM.
note
5
métiers de la
cybersécurité
Gestion de la sécurité
et pilotage des projets
de sécurité
7
Directeur Cybersécurité
Equivalence en anglais : mission essentielle
Executive security director Au sein de grandes organisations, le Directeur Cybersécurité est un
cadre dirigeant en charge de définir la stratégie de cybersécurité de
Autres titres équivalents : manière à répondre aux enjeux de cybersécurité de l’organisation
▶ FR : Directeur de la sécurité et d’être conforme aux réglementations en vigueur dans les pays où
des systèmes d’information (DSSI) opère l’organisation. Il anime la filière cybersécurité et peut piloter
▶ EN : Group Chief Security Officer, un réseau de Responsables de la Sécurité des Systèmes d’Information
Group Chief Information Security (RSSI) permettant de couvrir l’ensemble du périmètre de l’organisation.
Officer, Vice-President (VP) Cyber
security Il définit les indicateurs stratégiques et managériaux permettant de
mesurer le niveau de maturité de l’organisation en matière de cyber-
sécurité et rend compte à la Direction générale et au comité d’audit.
activités et tâches
planifier
Définir les axes et les objectifs stratégiques en matière de cybersécurité et les faire valider par la Direction générale
Identifier les enjeux de sécurité, les risques majeurs de sécurité pesant sur l’organisation et les exigences de
conformité légale et réglementaire
Définir et maintenir la politique de sécurité des SI en collaboration avec les parties prenantes
Définir la stratégie de mise en conformité au cadre législatif et réglementaire ; assurer les relations avec les acteurs
de son secteur d’activité autour de la cybersécurité
Définir un plan d’actions annuel ou pluriannuel
Définir une politique d’investissement au regard des objectifs de sécurité
Définir l’organisation de la cybersécurité au sein de l’organisation et l’animer
Définir les mesures organisationnelles et techniques à mettre en œuvre pour atteindre les objectifs de sécurité
Piloter la réalisation de la charte de sécurité informatique de l’organisation et la promouvoir auprès de tous les utilisateurs
Contribuer à répondre aux sollicitations des clients et partenaires de l’organisation sur les aspects sécurité
animer
Animer le réseau des RSSI à travers une gouvernance sécurité
Apporter un support à la mise en œuvre en fournissant une assistance technique et méthodologique ainsi que
des outils et des solutions de sécurité, éventuellement à travers un catalogue de services
vérifier
Évaluer le niveau de sécurité au sein de l’organisation, notamment à travers la réalisation d’audits périodiques et
de contrôles permanents
Contrôler que les politiques et règles de sécurité des SI sont appliquées dans l’organisation et vis-à-vis des tiers
et sous-traitants (third parties)
rendre compte
Rapporter régulièrement auprès de la Direction générale sur le niveau de couverture courant des risques de sécurité SI
Assurer un rôle de conseil auprès de la Direction générale et des métiers de l’organisation
Représenter l’organisation dans les relations avec les autorités de régulation
compétences
Connaissance juridique en matière de droit informatique lié à la sécurité des SI et à la protection des données
Connaissance de la gouvernance, des normes et des standards dans le domaine de la sécurité : normes ISO (2700X),
normes sectorielles (PCI-DSS…)
Compétences comportementales
Leadership
Capacité d’influence
Sens de l’intérêt général
Management d’équipe
Capacité à travailler en transverse au sein de l’organisation
Capacité d’appropriation des enjeux métiers
Compte-tenu des enjeux actuels liés à la cybersécurité, le Directeur Cybersécurité occupe un poste de cadre
dirigeant et est appelé à siéger dans les instances de direction de son organisation. Un rattachement à un membre
du Comité exécutif est recommandé. Il doit avoir une compréhension globale de l’évolution de la cybersécurité
pour maintenir à jour la stratégie de sécurité de l’organisation.
activités et tâches
Identifier
Décliner les axes et les objectifs stratégiques en matière de cybersécurité pour son périmètre et les faire valider
par la direction compétente sur celui-ci
Identifier les enjeux et les risques de sécurité majeurs sur son périmètre
Décliner et maintenir la politique de sécurité des SI en collaboration avec les parties prenantes
Définir un plan d’actions annuel ou pluriannuel sur son périmètre
Définir une politique d’investissement au regard des objectifs de sécurité
Suivre les évolutions réglementaires et techniques de son domaine ; assurer les relations avec les acteurs de son
secteur d’activité autour de la cybersécurité
protéger
Organiser les structures de pilotage des plans d’actions de sécurité au sein des entités
Définir les mesures organisationnelles et techniques à mettre en œuvre pour atteindre les objectifs de sécurité
Assurer un support à la mise en œuvre en fournissant une assistance technique et méthodologique ainsi que des
outils et services de sécurité, éventuellement à travers un catalogue de services
Diffuser une culture SSI à destination des utilisateurs et décideurs
Assurer la promotion des chartes de sécurité informatique sur son périmètre
Évaluer le niveau de sécurité au sein de son périmètre, notamment à travers la réalisation d’audits périodiques et
de contrôles permanents
Contrôler que les politiques et règles de sécurité des SI sont appliquées sur son périmètre et vis-à-vis des tiers et
sous-traitants (third parties)
Contribuer à répondre aux sollicitations des. prospects et des clients de l’organisation sur les aspects sécurité
(notamment dans le cadre d’appels d’offres)
répondre
Veiller à ce que le dispositif de gestion de crise de sécurité soit opérationnel
Contribuer au pilotage de la gestion des incidents et des crises de sécurité, le cas échéant en lien avec le CSIRT
(Computer Security Incident Response Team)
Préparer et mettre en œuvre un plan de reprise informatique, dans le cadre du plan de reprise des activités (PRA)
Proposer la stratégie de cyber-résilience
rendre compte
Rapporter régulièrement auprès de sa hiérarchie sur le niveau de couverture courant des risques de sécurité SI
compétences
Connaissance juridique en matière de droit informatique lié à la sécurité des SI et à la protection des données
Connaissance de la gouvernance, des normes et des standards dans le domaine de la sécurité : normes ISO (2700X),
normes sectorielles (PCI-DSS…)
Compétences comportementales
Capacité d’influence
Sens de l’intérêt général
Le périmètre de responsabilité du RSSI peut s’exercer sur différents domaines en fonction de la nature de l’orga-
nisation. Dans les organisations comportant des SI industriels, il existe généralement un RSSI pour le périmètre
industriel. Dans les organisations qui développent des produits comportant des SI, un RSSI peut être nommé
(dans ce cas, on peut parler de Product Security Officer (PSO)).
Dans les grandes entreprises ou administrations, les activités et tâches peuvent être réparties entre un Directeur
Cybersécurité ou un RSSI Groupe qui porte la responsabilité globale et des Responsables de la Sécurité des SI
(RSSI) qui déclinent les actions sur leurs périmètres respectifs.
Les activités et tâches essentielles qui doivent être prises en charge par une ou plusieurs personnes
de l’organisation sont décrites ci-dessous.
activités et tâches
identification
Identifier les risques de sécurité sur son périmètre
Définir et maintenir la politique de sécurité des SI
protection
Définir les mesures organisationnelles et techniques de sécurité, les déployer, en assurer le fonctionnement opé-
rationnel et les maintenir à l’état de l’art
S’assurer que les projets sont conçus et menés de manière sécurisée
S’assurer que les politiques et règles de sécurité sont appliquées dans l’organisation, piloter les audits de sécurité
sur le SI de l’organisation, suivre les actions de remédiation
Réaliser le paramétrage et l’administration des outils de sécurité
Diffuser une culture SSI à destination des utilisateurs et sensibiliser les décideurs aux problématiques de sécurité
reporting
Produire des états des actions de sécurité au sein de l’organisation
Mobiliser des expertises extérieures si besoin
activités et tâches
Apporter un appui aux équipes opérationnelles dans la prise en compte des politiques de sécurité des SI et des
exigences réglementaires
Participer à la déclinaison des politiques en directives de cybersécurité sur un périmètre organisationnel ou technique
Assurer le suivi de la gestion des vulnérabilités, des recommandations issues des audits et des contrôles de sécu-
rité, suivre les plans de remédiation
Participer à l’animation du réseau des relais de la sécurité des SI
Mener des contrôles opérationnels ou permanents de sécurité des SI
compétences
Compétences comportementales
Capacité de travail en équipe
activités et tâches
direction de projet
Définir une trajectoire de sécurité répondant à des objectifs métiers et IT stratégiques ainsi qu’à l’augmentation
de la cybermenace
Suivre les plannings, assurer le pilotage du budget des projets de sécurité, des risques et des plans de remédiation
associés
COMMUNiCATION
Assurer le reporting pour informer le commanditaire et le management de l’avancement et de la couverture des
risques de sécurité apportée par le programme
compétences
Le Directeur de programme de sécurité peut être une évolution d’un métier de Direction de programme infor-
matique. Il doit acquérir une solide connaissance des enjeux de cybersécurité et de la stratégie de cybersécurité
de son organisation.
activités et tâches
Réaliser une veille sur les produits de sécurité et disposer d’une connaissance de ces produits afin de couvrir les risques
Établir les spécifications fonctionnelles générales et rédiger les cahiers des charges pour des solutions de sécurité
conduite du projet
Assurer le suivi des phases d’appel d’offres, réaliser l’évaluation et le choix des solutions, suivre la contractualisation
Analyser les risques de sécurité liés au projet, proposer des mesures de sécurité si nécessaire
Définir et superviser la réalisation des prototypes et de preuves de concept (POC) et des tests fonctionnels de la
solution ou de l’infrastructure de sécurité choisie
Prendre en main les solutions de sécurité étudiées (fonctionnellement et techniquement) lors des phases d’études
(maquettes, etc.)
Effectuer la recette des solutions de sécurité et apprécier leur conformité au cahier des charges
Contribuer à la conception et à l’intégration des solutions de sécurité adoptées (incluant notamment les aspects
d’architecture, de gestion des identités et des accès et de contribution à la stratégie de surveillance et de détec-
tion) et assurer leur suivi
compétences
Capacité à prendre en compte les nouvelles méthodes de gestion de projet (méthode agile notamment).
19
Chef sécurité de projet
Équivalence en anglais : mission essentielle
Project security leader Le chef sécurité de projet s’assure de la bonne prise en compte des
aspects de sécurité des SI dans le cadre de la conception et de la réali-
Autres titres équivalents : sation d’un projet informatique ou métier. En général, le chef sécurité
▶ FR : Responsable de l’intégra- de projet assiste le chef de projet métier et le chef de projet IT sur ces
tion de la sécurité dans les projets aspects. Il travaille avec les juristes et le DPO si le projet intègre le
▶ EN : Project security Manager traitement de données à caractère personnel.
activités et tâches
Vérifier que les solutions techniques et fonctionnelles proposées répondent aux exigences de sécurité identi-
fiées
Définir des mesures de sécurité complémentaires pour traiter les risques
suivi de la conception
Suivre la sécurité des développements le cas échéant
Suivre la sécurité des architectures et des paramétrages initiaux avec l’aide éventuelle d’experts
Évaluer les fournisseurs et les tiers lors de la souscription des contrats et s’assurer de la mise en œuvre d’un plan
d’assurance sécurité, selon la nature des solutions et des prestations fournies
S’assurer de la formation des utilisateurs aux aspects de sécurité des SI le cas échéant
Connaissance juridique en matière de droit informatique lié à la sécurité et à la protection des données
Compétences comportementales
Travail en équipe
activités et tâches
conception
Établir la stratégie des architectures de sécurité des SI en lien avec la stratégie globale métier et contribuer à la
déclinaison des principes du modèle de sécurité globale
préconisation
Accompagner les chefs de projet dans le design de l’architecture, spécifier les différents paramétrages et
définir les exigences techniques de sécurité pour intégrer de nouveaux systèmes ou faire évoluer des systèmes
existants
Conseiller sur le choix des solutions techniques et préconiser des architectures sécurisées pour un ou un en-
semble de systèmes d’information ; s’assurer de sa conformité réglementaire le cas échéant
Participer au choix des éditeurs et des fournisseurs de services SI sous l’angle sécurité
Revoir régulièrement l’architecture existante, identifier les écarts et faire des recommandations d’amélioration
de la sécurité
Définir les stratégies de tests de validation sécurité et veiller au suivi des recommandations
conseil
Conseiller sur l’utilisation et la combinaison des briques de sécurité existantes
Assurer une veille sur les nouvelles menaces et en tenir compte dans la définition des architectures de sécurité
Maintenir des relations avec les fournisseurs pour assurer une veille technologique sur les innovations et les
outils de sécurité en vue de les intégrer dans les architectures de sécurité le cas échéant
communication
Contribuer à la montée en maturité des architectes techniques et des urbanistes en matière de sécurité des SI
Collaborer avec les spécialistes techniques de sécurité pour consolider une vue globale de la sécurité
Métier accessible à partir d’une expérience préalable en architecture technique des systèmes d’information
Innovation cybersécurité
Capacité de compréhension des menaces cybersécurité
Compétences comportementales
Capacité à travailler en transverse au sein de l’organisation
Capacité à s’intégrer dans des réseaux pour pratiquer une veille technologique
L’architecte sécurité doit être capable d’appréhender la complexification et la rapidité d’évolution des systèmes
d’information, aussi bien sur un plan technique que fonctionnel. Il doit maîtriser les concepts d’architecture de
sécurité dans des environnements en évolution (Cloud, virtualisation, API…).
Ce métier fait l’objet d’une demande croissante liée au besoin de gérer des architectures de sécurité de plus en
plus complexes face à l’augmentation des menaces.
activités et tâches
Proposer des techniques de contrôle du respect des politiques de sécurité dans son domaine d’expertise,
aider la constitution de tableaux de bord de contrôle
Maintenir des relations avec les fournisseurs pour analyser les évolutions techniques des solutions de sécurité et
des tendances et innovations du marché sur son périmètre d’expertise
Proposer des solutions pour améliorer la sécurité sur son périmètre d’expertise
compétences
Compétences cœur de métier
Maîtrise du système d’information, de l’urbanisation et de l’architecture du SI
Contribution des architectures à la sécurité : conception et modèles
Innovation cybersécurité
Configuration des outils liés à la sécurité
Compétences comportementales
Pédagogie sur les sujets de cybersécurité
Capacité à s’intégrer dans des réseaux pour pratiquer une veille technologique
Capacité d’influence
Le spécialiste est issu d’un autre métier (architecte, auditeur, administrateur, etc.).
activités et tâches
conception
Définir ou contribuer à la définition des guides de développement sécurisé
Faire respecter les bonnes pratiques de sécurité du développement sur les projets et, en phase d’intégration,
contribuer aux sprints pour suivre les revues sécurité pour les développements en méthode agile
Assurer la formation des développeurs aux techniques de développement sécurisé et aux risques de sécurité
sur la base de frameworks de développement sécurisé du marché ; les former aux outils de revue de code
Évaluer la bonne implémentation des exigences de sécurité à travers des audits applicatifs et des revues
de code
Prioriser les vulnérabilités rencontrées et accompagner les développeurs dans la bonne prise en compte
des mesures de remédiation
Proposer des solutions pour améliorer la sécurité sur son périmètre d’expertise
compétences
Innovation sécurité
Compétences comportementales
Pédagogie sur les sujets de cybersécurité
Dans le cadre d’une démarche agile, le spécialiste en développement sécurisé intervient au sein des équipes
pour définir les users stories et les abusers stories et suivre la prise en compte des anomalies (démarche De-
vSecOps). En sus des compétences en sécurité applicative, le métier nécessitera une compétence en gestion
opérationnelle de la sécurité de systèmes et en sécurité des middlewares.
activités et tâches
Réaliser une évaluation sécuritaire de la mise en œuvre de la cryptographie dans un contexte donné
compétences
Compétences comportementales
Rigueur
Capacité à s’intégrer dans des réseaux pour pratiquer une veille technologique
La cryptologie est utilisée dans de nombreux secteurs d’activité : les systèmes bancaires, l’industrie des cartes à
puce, les télécommunications et la téléphonie mobile, les équipements réseaux, la protection de documents et
de données, etc. L'évolution des dernières avancées sur la question de la faisabilité des ordinateurs quantiques
soulève une menace non clairement identifiée sur les algorithmes cryptographiques utilisés actuellement.
Le cryptologue se doit donc, de plus en plus, de se tenir informé des évolutions en cours dans le domaine de
la cryptographie post-quantique.
activités et tâches
administration
S’assurer du fonctionnement optimal des solutions de sécurité dont il a la charge
Configurer les solutions en conformité avec les normes et standards définis par les experts du domaine, effec-
tuer des revues régulières des règles et paramétrages mis en place
Mettre en place la collecte des logs et des alertes issues des solutions vers un service de détection d’incidents
maintenance
Maintenir et faire évoluer les solutions de sécurité de son périmètre, dans un objectif de qualité,
de productivité et de sécurité globale
exploitation
Valider l’installation des outils dans l’environnement de production
communication
Contribuer à la sensibilisation et à la formation des utilisateurs aux solutions de sécurité
compétences
Compétences comportementales
Rigueur
Souvent, la fonction d’administration de la sécurité est une des fonctions de l’administrateur systèmes et ré-
seaux, mais certaines organisations peuvent dédier des personnes à ce seul métier. Ces dernières agissent alors
en complément de l’administrateur systèmes et réseaux.
activités et tâches
Mener des contrôles permanents et/ou périodiques de sécurité, notamment sur la base de revues documen-
taires, de collecte de preuves, d’accès aux consoles et aux rapports des outils de sécurité ou de l’utilisation
d’outils automatisés de contrôle de conformité
Mener et documenter des audits des processus de sécurité, analyser la documentation et les preuves, procéder
à des interviews des équipes
Rédiger des rapports intégrant une analyse des vulnérabilités et écarts constatés et mettre en évidence et éva-
luer les risques de sécurité et leurs impacts sur les métiers
Définir les recommandations permettant de remédier aux risques découlant des vulnérabilités découvertes
Collaborer avec les équipes informatiques pour mettre en œuvre les recommandations
compétences
Connaissance de la gouvernance, des normes et des standards dans le domaine de la sécurité : normes ISO
(2700X), normes sectorielles (PCI-DSS…)
Rigueur
activités et tâches
Exécuter et documenter des audits de sécurité sur différents environnements informatiques en s’assurant du
respect du cadre réglementaire encadrant ces pratiques
Collecter les éléments de configuration des équipements à auditer et réaliser une revue des configurations
(audits de configuration)
Collecter les éléments d’architecture des systèmes à auditer et réaliser une revue de l’architecture
(audit d’architecture)
Réaliser une revue du code source des composants de l’environnement (audit de code)
Définir les scénarios d’attaques et réaliser des attaques sur l’environnement cible (tests d’intrusion)
Rédiger des rapports intégrant une analyse des vulnérabilités rencontrées et une identification des causes ;
mettre en évidence et évaluer les risques de sécurité et les impacts pour les métiers
Définir les recommandations permettant de remédier aux risques découlant des vulnérabilités découvertes
Collaborer avec les équipes informatiques pour mettre en œuvre les recommandations techniques
veille technique
Assurer une veille permanente vis-à-vis des scénarios d’attaques, des nouvelles menaces et des vulnérabilités
associées et vis-à-vis du développement de nouveaux contextes de tests
Identifier de nouveaux moyens pour détecter des failles qui peuvent toucher un système
compétences
Connaissance de la gouvernance, des normes et des standards : maîtrise des méthodologies d’audits
Scripting
Connaissance juridique en matière de droit informatique lié à la sécurité des SI et à la protection des données
Compétences comportementales
Capacité de synthèse et de vulgarisation pour des publics non techniques
Sens éthique
Rigueur
L’auditeur sécurité technique peut être amené à réaliser des audits de type red team qui visent à simuler des attaques
en grandeur réelle dans le but de tester les défenses de l’organisation. Il peut également être amené à réaliser des
audits dans une approche purple team afin d’entrainer les équipes de détection des incidents de cybersécurité.
35
Responsable du SOC (Security Operation Center)
Équivalence en anglais : mission essentielle
SOC Manager Le responsable du SOC (Security Operation Center) planifie et orga-
nise les opérations quotidiennes du SOC afin d’évaluer le niveau de
Autres titres équivalents : vulnérabilité et de détecter des activités suspectes ou malveillantes.
▶ FR : Responsable du centre opé- Il met en place le service de détection des incidents de sécurité. Il
rationnel de sécurité, responsable valide la bonne exécution des processus de supervision et de gestion
du centre de Cyberdéfense, res- des évènements de sécurité et assure un reporting complet et précis
ponsable du service de détection des indicateurs clés. Il définit et pilote le plan d’amélioration des
des incidents de sécurité services du SOC.
▶ EN : Security Operation Center ma-
nager, Operational security manager
activités et tâches
Assurer un appui opérationnel à la gestion de crise de sécurité en cas d’incidents de sécurité majeurs
Assurer les relations avec les équipes de réponse à incidents CERT (Computer Emergency Response Team) ou
CSIRT (Computer Security Incident Response Team), notamment en situation de crise pour coordonner les diffé-
rentes équipes de sécurité opérationnelle
Définir et mettre en œuvre les outils du SOC pour la collecte des évènements, l’accès aux plateformes de sécu-
rité, la recherche d’évènements suspects, la gestion des alertes, les workflows de suivi d’incidents de sécurité
Alimenter la stratégie de détection à partir d’une vision globale de la nature et du niveau de vulnérabilité du SI
Définir les cas d’usages de détection et les intégrer dans les outils de détection
Évaluer et valider l’efficacité des outils déployés dans le SOC et conduire les plans d’action correctifs néces-
saires le cas échéant
Créer des synergies avec les autres équipes de sécurité en partageant les informations sur les menaces identi-
fiées (en interne comme en externe)
compétences
Scripting
Compétences comportementales
Management d’équipe
Sens éthique
Le responsable du SOC doit acquérir une bonne compréhension des besoins de supervision pour les activités
métiers critiques afin d’assurer le développement des cas d’usages applicatifs et spécifiques (e.g. surveillance
des SI industriels). De plus, le responsable du SOC doit gérer de plus en plus d’incidents de sécurité et doit par
conséquent développer une bonne compréhension des menaces qui pèsent sur son périmètre. Cette compré-
hension fine des menaces lui permet de concevoir au mieux les actions de prévention et de détection et d’être
efficace dans la réponse apportée. Pour suivre l’évolution des tendances, il pourra être amené à développer des
compétences en machine learning et en threat intelligence afin de renforcer les capacités de détection.
activités et tâches
détection
Identifier les évènements de sécurité en temps réel, les analyser et les qualifier
réaction
Transmettre les plans d’action aux entités en charge du traitement et apporter un support concernant les cor-
rectifs ou palliatifs à mettre en œuvre
veille et amélioration
Collaborer à l’amélioration continue des procédures ; construire les procédures pour les nouveaux
types d’incidents
Contribuer à la veille permanente sur les menaces, les vulnérabilités et les méthodes d’attaques afin d’enrichir
les règles de corrélation d’évènements
reporting et documentation
Renseigner les tableaux de bord rendant compte de l’activité opérationnelle
Métier accessible à partir d’une première expérience en ingénierie des réseaux et des systèmes
compétences
Scripting
Compétences comportementales
Capacité à travailler en équipe
L’opérateur du SOC pourra être amené à développer des compétences en machine learning afin de renforcer
les capacités de détection.
activités et tâches
Assurer un appui opérationnel à la gestion de crise de sécurité en cas d’incidents de sécurité majeurs
Organiser les modes de fonctionnement avec le SOC (Security Operation Center) interne ou externe
pour assurer la gestion des incidents de sécurité
anticipation
S’appuyer sur les services de veille sur les menaces (threat intelligence) pour tenir compte des groupes
d’attaquants existants, de leurs méthodes d’attaques et de leurs motivations
Informer les équipes en charge de la sécurité des nouvelles menaces importantes et recommander
des mesures tactiques pour les contrer
Construire et maintenir des relations de confiance et d’échange avec les réseaux de CSIRT français
et étrangers ainsi qu’avec les organismes gouvernementaux
réponse à incident
Élaborer et tenir à jour le processus d’intervention en cas d’incident majeur de sécurité ainsi que toutes les
ressources nécessaires (outillage, procédure, etc.) ; vérifier que les prérequis techniques et documentaires sont
en place et tenus à jour
S’assurer que les parties prenantes connaissent leur rôle dans la gestion des incidents de sécurité
S’assurer de la bonne exécution du processus de réponse à incident depuis la détection jusqu’à la résolution
de l’incident ; suivre et coordonner les actions de remédiation
Organiser les retours d’expérience concernant les incidents pour capitaliser et définir des actions
d’amélioration
compétences
Scripting
Compétences comportementales
Capacité de restitution et de vulgarisation pour des publics non techniques
Travail en équipe
Sens éthique
Le responsable du CSIRT peut être amené à contribuer à la gestion d’incidents liés à des raisons autres que la
sécurité des SI, comme par exemple la fraude via des moyens informatiques.
activités et tâches
anticipation
Réaliser une veille sur les nouvelles vulnérabilités, sur les nouvelles technologies et sur les méthodes des at-
taques relatives aux différents composants du système d’information
Collecter les informations techniques d’un large ensemble de systèmes d’information, réaliser la recherche
d’indicateurs de compromission
Analyser les relevés techniques réalisés afin d’identifier le mode opératoire et l’objectif de l’attaquant et de
qualifier l’étendue de la compromission
conseil
Préconiser des mesures d’amélioration des capacités d’analyse (extraction des indicateurs de compromission)
compétences
Compétences cœur de métier
Scripting
Compétences comportementales
Capacité de restitution et de vulgarisation pour des publics non techniques
Travail en équipe
Sens éthique
L’analyste réponse aux incidents de sécurité peut être spécialisé en tant qu’analyste système, analyste réseau,
analyste de codes malveillants.
activités et tâches
anticipation
Conseiller l’organisation pour lui permettre de disposer d’une capacité de gestion de crises de cybersécurité
majeures
Définir les moyens nécessaires à la gestion de crise : plans, procédure, ressources, etc.
Vérifier que tous les éléments de préparation des crises sont présents
Assurer la formation et l’entraînement des acteurs métiers ou support susceptibles d’intervenir en cas de crise
de cybersécurité ; tester et valider la capacité de l’organisation à réagir à une attaque
réaction
Coordonner l’action des différentes parties en présence et la diffusion des informations vers
les parties prenantes
Assurer les relations avec les autorités, les assurances et des experts externes éventuels
Organiser les revues post-mortem et la prise en compte des retours d’expérience pour donner suite
aux incidents et proposer l’amélioration des dispositifs de prévention, détection et réaction
Connaissance juridique en matière de droit informatique lié à la sécurité et à la protection des données
Compétences comportementales
Au sein des organisations qui ne disposent pas d’une structure de réponse à incidents spécifique, ce métier n’est
pas toujours dédié ; ses missions peuvent être assurées par le RSSI ou par d’autres acteurs de l’organisation de
gestion de crise.
activités et tâches
Collecter, qualifier, organiser, recouper et analyser des données brutes issues de différentes sources (dark web,
renseignements open source, média sociaux, CERT, etc.)
Comprendre les enjeux et le contexte de la cybermenace, réaliser une veille sur les menaces émergentes
Qualifier les menaces pouvant viser un type d’organisation, étudier le niveau d’exposition aux risques
capitalisation et partage
Rédiger les alertes et les rapports d’analyse permettant de mieux comprendre les menaces pesant
sur l’environnement
Partager, lors d’un incident ou d’une crise de cybersécurité, l’état de la compréhension de la menace et les
hypothèses probables concernant l’évolution de l’incident ou de la crise
Compétences comportementales
Capacité de synthèse des éléments analysés
Rigueur
Capacité à s’intégrer dans des réseaux pour pratiquer une veille technologique
Ce métier est en développement au sein des organisations qui possèdent une structure de type SOC.
48
Consultant en cybersécurité
Équivalence en anglais : services ou du pôle de conseil interne d’une organisation. Il propose,
Cybersecurity consultant à partir d’un diagnostic, des solutions, méthodes, outils, etc. qui ré-
pondent aux enjeux posés. Il mobilise pour ce faire des éléments issus
Autres titres équivalents : de son expertise et de son expérience ainsi que des outils développés
▶ FR : Consultant sécurité, consul- en interne.
tant en SSI
Il anticipe les évolutions du contexte de cybersécurité, apporte un retour
mission essentielle d'expérience et une vision des pratiques du marché. Il peut contribuer
Le consultant en cybersécurité à la définition de la stratégie de cybersécurité de l’organisation et à la
intervient au sein d’une société de mise en œuvre des solutions de cybersécurité. Il apporte son expertise
aussi bien sur des sujets méthodologiques que techniques.
activités et tâches
Réaliser des évaluations du niveau de sécurité de l’organisation du client, le comparer à l’état de l’art du marché
Informer et sensibiliser les directions générales et les directions métiers sur les enjeux de cybersécurité et l’état
de la menace
Mettre en place des méthodologies et des processus de sécurité, réaliser des analyses de risques de sécurité
Intervenir dans l’intégration des normes de sécurité et apporter une expertise lors de la mise en œuvre
des projets de sécurité
Assister dans le choix et l’utilisation des outils de sécurité, informer sur les évolutions des outils
Apporter son expertise pour analyser des incidents de sécurité et établir des plans correctifs et d’amélioration
de la sécurité des SI (sur les plans technique et organisationnel)
Former les utilisateurs, intervenants techniques et autres relais opérationnels aux technologies
et systèmes de sécurité
Assurer une veille sur les menaces existantes et émergentes et définir les mesures de protection
à mettre en place
Apporter une expertise sur les incidents de sécurité sur le système d’information, sur les techniques utilisées
et le profil des attaquants le cas échéant
Apporter une expertise sur la sécurité dans un domaine technique (état de l’art)
Connaissance de la gouvernance, des normes et des standards dans le domaine de la sécurité : normes ISO
(2700X), normes sectorielles (PCI-DSS…)
Compétences comportementales
Capacité à réaliser un diagnostic et à proposer des solutions adaptées au contexte
Rigueur
Le consultant sécurité est souvent spécialisé dans un ou plusieurs domaines de cybersécurité : sécurité organi-
sationnelle, sécurité technique, IAM, etc.
activités et tâches
Concevoir et réaliser des parcours et des supports de formation à destination des utilisateurs et des publics
exposés aux risques de sécurité des SI
Concevoir, organiser et animer des formations internes et externes dans le domaine de la sécurité des SI en
s’appuyant sur des experts le cas échéant
Se tenir informé de l’état de l’art dans son domaine et assurer une veille active permettant d’actualiser les
formations en fonction de l’évolution du contexte (technique, organisationnel, menaces, régulation)
Évaluer le niveau des publics cibles en entrée et en sortie des actions de formation ou de sensibilisation
compétences
Compétences comportementales
Capacité de travail en équipe
activités et tâches
réalisation de l’évaluation
Respecter une procédure et une méthodologie d’évaluation selon des critères préalablement définis
Réaliser des tests techniques afin de vérifier que les fonctions de sécurité atteignent le niveau requis de robus-
tesse en adéquation avec la cible de sécurité et le niveau de certification visé
assistance à un commanditaire pour la préparation d’une évaluation réalisée par un autre évaluateur
Pour certains types d’évaluations, des profils doctorants spécialisés peuvent être nécessaires
(cryptologie notamment)
compétences
Compétences comportementales
Rigueur
L’évaluateur devra prendre en compte les réglementations internationales, notamment celles liées à la certifi-
cation des produits connectés.
activités et tâches
analyse
développement
qualification
Réaliser des tests afin de s’assurer que les solutions de sécurité répondent bien aux exigences de protection
ou de détection
Contribuer à l’implémentation de la solution ou du produit dans une architecture logicielle et le tester
maintenance
compétences
Développement logiciel et ingénierie logicielle (sous l’angle de la sécurité) : connaissance des vulnérabilités
logicielles
Compétences comportementales
Rigueur
activités et tâches
conception
Définir, sous la responsabilité du responsable de projet, l’architecture fonctionnelle et technique
du système d’information
Définir les interfaces et définir les composants à faire évoluer pour permettre leur intégration
Documenter la solution
Mettre en œuvre la recette, l’industrialisation et la mise en production, en liaison avec le responsable du projet
Documenter les processus de mise en œuvre, de mise à jour et d’exploitation des composants de sécurité
maintenance et infogérence
Assurer la supervision des services, assurer la métrologie, gérer les alertes et les incidents de production
expertise et conseil
veille technologique
Compétences comportementales
Capacité à travailler en transverse au sein de l’organisation
Rigueur
activités et tâches
mener un projet de recehrche
Concevoir, présenter et mener un projet de recherche en autonomie et/ou en partenariat avec des pairs au sein
de son unité (laboratoire) mais aussi en lien avec des partenaires externes
Assurer une veille scientifique et technologique et anticiper les problématiques opérationnelles et les défis à
venir dans son domaine
Documenter les travaux réalisés et participer à la valorisation et au transfert des résultats obtenus
Contribuer et participer à des événements en lien avec son champ de recherche (réunions scientifiques,
démonstrations, groupes de travail…)
compétences
Capacités d’encadrement
Pédagogie
Le chercheur en sécurité des SI peut appartenir à une équipe de recherche et développement (R&D). Son activité
est alors davantage pilotée par les perspectives d’opérationnalisation des avancées scientifiques et techniques
attendues. Il mène une activité de veille technologique pointue et intègre dans sa démarche les attendus des
produits et services du point de vue des usages.
Dans le domaine de la recherche publique, le chercheur en sécurité des SI peut collaborer avec une équipe
de recherche dont les axes de travail ne sont pas strictement dédiés à la sécurité. Cette multidisciplinarité est
souvent nécessaire pour appréhender la complexité du domaine.
61
Au sein des organisations, les acteurs de la cybersécurité interagissent
avec d’autres acteurs qui contribuent également à la démarche globale de
cybersécurité, en particulier les acteurs des filières « continuité d’activité »,
« protection des données à caractère personnel », « risk management »,
« sûreté », « assurance » et « contrôle interne ».
Délégué à la protection des Il est chargé de mettre en œuvre La filière cybersécurité analyse les
données (DPD) la conformité au Règlement Euro- risques du point de vue de la pro-
péen sur la Protection des Données tection de la donnée tandis que
Correspondant informatique et (RGPD) au sein de l’organisation qui le DPO s’intéresse au risque lié à
libertés (CIL) l’a désigné, et ce pour l’ensemble l’utilisation de la donnée sur la vie
Data protection officer (DPO) des traitements de données à ca- privée des personnes concernées.
Privacy compliance manager ractère personnel mis en œuvre Elle mène des analyses de risques
Privacy officer par cette organisation. complémentaires dans les projets
Data protection officer (security & privacy by design).
65
Au sein de grandes organisations, des métiers non spécifiques à la cy-
bersécurité peuvent se spécialiser en cybersécurité dans le cadre de
leurs activités habituelles.
nombre de métiers
Il aurait été possible d’ajouter d’autres métiers en déclinant, parfois légitimement, certains métiers qui
peuvent paraître « génériques » ou en multipliant les métiers de spécialités, ou encore en déclinant plus
précisément les différents niveaux hiérarchiques dans certains domaines d’expertise. Ces raffinements
sont toujours possibles, parfois souhaitables, en fonction des contextes. Toutefois, le choix a été fait d’es-
sayer de conserver une liste de taille limitée, facile à utiliser par le plus grand nombre, tout en en gardant
un niveau de détail suffisant pour couvrir l’ensemble des aspects de la filière. L’idée qui porte ces choix,
contestables parfois, est d’essayer de respecter en même temps les pratiques observées et les évolutions
qu’il est possible de percevoir.
niveau d’abstraction
Il aurait été souhaitable, au niveau de l’épure d’un outil RH complet, d’appliquer un niveau d’abstraction
strictement homogène dans la typologie. En pratique, cela n’a pas été possible. Cette liste voit se côtoyer
des métiers très spécialisés et des métiers aux contours moins nets, voire parfois moins exclusivement
propres à la SSI. Ce choix est assumé pour pouvoir rester fidèle à un secteur dont les niveaux de maturité
sont variables en fonction des organisations concernées, de la spécialisation des acteurs et de la diversité
des approches choisies.
Par rapport à la liste précédente, il a été décidé de ne décrire en détails que les métiers dont la compo-
sante principale est la cybersécurité, ce qui a conduit à écarter les métiers non dédiés (correspondant,
développeur, intégrateur, technicien, administrateur) et les métiers appartenant aux filières continuité
d’activité et protection des données à caractère personnel (RPCA, DPO), même si évidemment ils ne sont
pas sans lien avec ceux qui constituent la liste principale. Symétriquement, certains métiers présents
dans la liste actuelle peuvent n’être dédiés à la sécurité que temporairement ou partiellement, pendant
la durée d’un projet par exemple (responsable de projet de sécurité, directeur de programme sécurité) ;
néanmoins il a été décidé de les mentionner car ce sont des métiers très présents dans les filières cyber-
sécurité des organisations à la date de la publication.
compétences
Des compétences cœur de métier et comportementales ont été ajoutées par rapport à la première ver-
sion du panorama. Les référentiels de compétences existants sur le marché étant trop génériques (Eu-
ropean-e-Competence-Framework-3.0_FR) ou bien trop spécifiques (document du NIST SP800-181), il
a été décidé de proposer des compétences précises mais en nombre volontairement limité, permettant
de caractériser chacun des métiers. Ce point pourra évoluer à l’avenir et faire l’objet d’enrichissements
locaux en fonction des besoins des organisations qui se saisiront de cet outil.
L’évolution du référentiel propose un document utile et accessible aux fonctions RH, y compris dans un
objectif de gestion de carrière (du futur candidat qui souhaite se projeter au collaborateur qui souhaite
avoir une meilleure visibilité sur son évolution professionnelle) avec des fiches métiers à l’état de l’art
du marché dans leur structure.
Les facteurs d’évolutions des métiers et les tendances sont précisées dans une rubrique dédiée afin
d’apporter des nuances dans la description et inscrire l’outil dans une dynamique de marché observable.
métiers et rôles
La pratique d’un métier peut varier en fonction de l’entreprise et en particulier, de sa taille. Ainsi, dans
des grandes structures, on pourra trouver un large sous-ensemble des métiers identifiés avec parfois
plusieurs personnes dans chacun de ces métiers ou des subdivision de ces métiers, alors que dans des
entreprises plus petites, plusieurs métiers pourront être occupés par une seule personne : cette liste ne
préjuge pas de l’organisation mise en place au sein des organisations.
72 — Glossaire
acronymes intitulés
73 — Glossaire